Поиск руткитов и использование методов эвристического анализа

На закладке Эвристический анализатор вы можете включать / отключать обнаружение руткитов, а также использование методов эвристического анализа в рамках выполнения задач поиска вирусов. Для этого выполните следующие действия:

Откройте окно настройки приложения и выберите имя задачи проверки в разделе

Поиск вирусов.

Нажмите на кнопку Настройка в блоке Уровень безопасности и в открывшемся окне перейдите на закладку Эвристический анализатор.

Поиск руткитов (rootkit)

Руткит (rootkit) – это набор утилит, обеспечивающих сокрытие вредоносных программ в операционной системе. Данные утилиты внедряются в систему, маскируя свое присутствие, а также наличие в системе процессов, каталогов, ключей реестра любых вредоносных программ, описанных в конфигурации руткита.

Поиск руткитов может выполняться любой задачей поиска вирусов (при условии, что данная возможность включена в настройках конкретной задачи), однако специалисты «Лаборатории Касперского» сформировали и оптимально настроили отдельную задачу поиска вредоносных программ данного типа.

Для включения поиска руткитов установите флажок

Включить обнаружение руткитов (rootkit) в блоке Поиск руткитов (rootkit). Если поиск включен, вы можете установить детальный уровень обнаружения руткитов, выбрав флажок

Включить расширенный поиск руткитов. В данном случае будет выполняться тщательный поиск данных программ путем анализа большего количества объектов разного типа. По умолчанию флажки сняты, поскольку включение данного режима требует значительных ресурсов операционной системы.

Использование методов эвристического анализа

Известно, что проверка на основе сигнатурного метода с использованием сформированных заранее баз, содержащих описание известных угроз и методов их лечения, дает однозначный ответ, является ли проверяемый объект вредоносным, а также к какому классу опасных программ он относится. Эвристический метод, в отличие от сигнатурного метода, нацелен на обнаружение не сигнатур вредоносного кода, а типичных последовательностей операций, позволяющих сделать вывод о природе файла с достаточной долей вероятности. Преимуществом эвристического анализа является то, что для его работы не требуется наличие предварительно составленных баз. За счет этого новые угрозы распознаются до того, как их активность становится известна вирусным аналитикам.

Эвристический анализатор эмулирует выполнение объекта в безопасном виртуальном окружении Kaspersky Internet Security. Если поведение объекта не является подозрительным, разрешается его выполнение в рабочей среде. В случае если при его выполнении будут обнаружены подозрительные действия, объект будет признан вредоносным и его запуск на компьютере будет заблокирован либо на экран будет выведено уведомление с запросом дальнейших действий у пользователя:

поместить угрозу на карантин для последующей проверки и обработки с помощью обновленных баз;

удалить объект;

пропустить, если вы абсолютно уверены, что данный объект не может являться вредоносным.

Для использования методов эвристического анализа установите флажок

Использовать эвристический анализатор. Дополнительно вы можете выбрать уровень детализации проверки, для этого передвиньте бегунок в одну из позиций: поверхностный, средний или детальный. Уровень детализации проверки обеспечивает баланс между тщательностью, а, значит, и качеством поиска новых угроз и степенью загрузки ресурсов операционной системы, а также временем проверки. Чем выше установлен уровень эвристики, тем больше ресурсов системы требует проверка, и тем дольше по времени она выполняется.


Внимание! Новые угрозы, обнаруживаемые с помощью эвристического анализа, оперативно анализируются специалистами «Лаборатории Касперского» и методы их лечения заносятся в ежечасно обновляемые базы приложения. Поэтому, если вы регулярно выполняете обновление баз приложения и поддерживаете оптимальный уровень защиты компьютера, нет необходимости использовать методы эвристического анализа постоянно.